Test Intrusion

7/25/2019 Test Intrusion

1/16

Document Technique

TEST DINTRUSION

Mars 2004

Commission Rseaux et Systmes Ouverts

C L U B D E L A S E C U R IT E D E S S Y S T E M E S D I N F O R M A T I O N F RA N A I S

30, Rue Pierre Semard

Tlphone : 01 53 25 08 80 Fax : 01 53 25 08 88

Mail : [email protected] Web : http://www.clusif.asso.fr


2/16

REMERCIEMENTS

Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce

document, tout particulirement :

Julien AIRAUD ETUDIANT UNIVERSITE DE LIMOGES

Philippe BOUVIER THALES SECURE SOLUTION

Eric CHASSARD CSC - PEAT MARWICK FRANCE

Paul CONSTANT PAUL CONSTANT

Jean-Franois GONEL AGENCE FRANCE PRESSE

Xavier GUILLOT ETUDIANT UNIVERSITE DE LIMOGES

Vincent MARET ERNST & YOUNG AUDITLazaro PEJSACHOWICZ CNAMTS

Paul RICHY FRANCE TELECOM

Herv SCHAUER HSC

Laurence SELIGMANN THALES SYSTEMES AEROPORTES

Tests dintrusion - I - CLUSIF 2004


3/16

TABLE DES MATIERES

1 INTRODUCTION............................................. ........................................................... ........................................... 1

2 OBJECTIFS, AVANTAGES ET LIMITES DES TESTS DINTRUSION........................................................ 2

2.1 OBJECTIFS POUVANT ETRE SATISFAITS PAR DES TESTS DINTRUSION................................................... ............. 22.2 TESTS DE VULNERABILITES ...................................................... ........................................................... ............. 22.3 OBJECTIFS NE POUVANT ETRE SATISFAITS PAR DES TESTS DINTRUSION........................................................ ... 3

3 ACTEURS DUN TEST DINTRUSION............................ ........................................................... ....................... 4

4 DEROULEMENT DUNE MISSION DE TEST DINTRUSION TYPE DEPUIS INTERNET..................... 5

5 MESURES A PRENDRE DU COTE DU DEMANDEUR ........................................................... ....................... 7

6 LE ROLE DES ASSURANCES DANS LE CADRE DES TESTS DINTRUSION......... ............................... 10

7 GLOSSAIRE ..................................................... ........................................................... ......................................... 11

Tests dintrusion - II - CLUSIF 2004


4/16

1 INTRODUCTION

Lobjectif de ce document de synthse relatif aux tests dintrusion des accs Internet, est de fournir

des lments sur lintrt et les limites de cette dmarche dans le cadre dune politique de scurit

en entreprise.La commission regroupant offreurs et utilisateurs a permis dtablir une premire approche de

langage commun autour du service tests dintrusion afin que les attentes des utilisateurs soient

correctement prises en compte par les pratiques des offreurs. Ce document vise aussi mettre en

exergue le niveau de maturit actuel dun test dintrusion dont la dmarche sinscrit pleinement

dans les plans de scurisation tablis par les RSSI.

Le caractre contractuel, mthodique, transparent, et lenvironnement lgislatif dans lesquels se

droulent ces tests dintrusion pratiqus par les vritables professionnels reconnus du domaine, ont

depuis longtemps maintenant, balay limage sulfureuse des tests pratiqus par quelques

bidouilleurs aviss linsu du fonctionnement officiel du SI.

Bien quil existe diffrents types de tests dintrusion, nous nous limiterons volontairement aux tests

permettant une intrusion depuis Internet.

Tests dintrusion - 1 - CLUSIF 2004


5/16

2 OBJECTIFS, AVANTAGES ET LIMITES DES TESTSDINTRUSION

Les principes de ralisation des tests d'intrusion prsentent, par rapport d'autres mthodes

d'analyse de la scurit, des avantages, mais aussi des limites. Il convient donc de bien mesurer ces

insuffisances, et de les mettre en perspective avec les objectifs que lon veut atteindre.

2.1 Objectifs pouvant tre satisfaits par des tests dintrusion

2.1.1 Mettre l'preuve la scurit d'un environnement et qualifier sa rsistance un certain

niveau dattaque.

Les tests d'intrusion peuvent en effet tre compars certaines mthodes de qualification du monde

industriel (rsistance de coffre-forts, endurance de moteurs d'avions) o l'on vrifie que le

mcanisme test rsiste pendant un certain temps des attaques ou des agressions dun niveau

dfini. Dans le cas des tests d'intrusion, le rsultat se rduit savoir si l'environnement test a

rsist aux attaques pendant le laps de temps imparti (en gnral quelques jours). Si tel est le cas,

alors on peut supposer que la plupart des attaquants n'iront pas aussi loin.

Cette approche a lavantage de permettre de tirer des enseignements d'un test qui choue, c'est--

dire pour lesquels aucune intrusion na pu tre ralise dans le laps de temps imparti. On peut donc

supposer que la scurit existante est adapte au niveau de risque accept. Il convient de dfinir trs

prcisment, avant le test, la dure du test et ce qui sera considr comme une intrusion afin de

pouvoir tirer prcisment des enseignements en matire de rsistance lintrusion.

2.1.2 Sensibiliser les acteurs (management, informaticiens, utilisateurs) au sein de lentreprise.

Les tests d'intrusions sont particulirement efficaces pour sensibiliser les acteurs. En effet, par

rapport des mthodes d'analyse de la scurit comme l'audit, le test d'intrusion, s'il "russit",

permet de disposer d'arguments de poids pour inciter les acteurs prendre conscience des risques. Il

peut mme tre envisag de rcolter des preuves pour convaincre les plus rcalcitrants. Les tests

d'intrusion permettent galement d'illustrer les problmes de scurit issus des interactions

complexes et non prvues, interactions qui sont parfois difficiles apprhender lors daudits de

scurit se focalisant sur des points de contrle atomiques .

Toutefois, il faut considrer le risque que les tests d'intrusion n'aboutissent pas des rsultats

concluants. Dans ce cas l, le pouvoir de sensibilisation des acteurs devient inexistant. Au contraire,

certains peuvent croire, la robustesse du systme.

2.2 Tests de vulnrabilits

Un test de vulnrabilits est un test d'identification de failles connues. Le rsultat du test de

vulnrabilits est un tableau synthtique, avec pour chaque faille, la liste des machines ou

quipements qui semblent vulnrables. Un test d'intrusion commence par une phase de recherche de

vulnrabilits. Celle-ci ne donne gnralement pas lieu la dlivrance d'un tableau desvulnrabilits, car elle sert d'entre pour les phases suivantes du test d'intrusion. Lors d'un test

d'intrusion, l'quipe de test va tenter de mettre en oeuvre les vulnrabilits trouves, utiliser les



6/16

inter-dpendances entre ces vulnrabilits, et essayer d'aller plus loin. Ce n'est pas le cas lors d'un

test de vulnrabilits. Le test de vulnrabilits est ralisable de manire automatique, et propos en

mode ASP par certains fournisseurs. Il est court et peu coteux, donc peut tre ralis avec une

frquence plus importante que les tests d'intrusion.

Enfin, le test d'intrusion ralis par une quipe permettra de dtecter des vulnrabilits qu'un test de

vulnrabilit ne verra pas.

2.3 Objectifs ne pouvant tre satisfaits par des tests dintrusion

2.3.1 Avoir l'assurance qu'un environnement informatique est scuris.

Un test dintrusion ne peut constituer la preuve de la scurit dun environnement. Si aucune

vulnrabilit significative n'est mise en vidence lors des tests, il est impossible de conclure que

l'environnement test est scuris. En effet, on ne peut exclure que les testeurs n'aient pas identifi

certaines vulnrabilits existantes, par manque de connaissance ou de moyens, ou parce que ces

vulnrabilits ne peuvent pas tre mises en vidence directement dans les conditions des tests

dintrusion. On ne peut pas non plus exclure que, dans le futur, des vulnrabilits apparaissent au

sein des briques logicielles constituant l'environnement ou que son paramtrage de scurit soit

modifi.

Pour obtenir un niveau d'assurance suffisant sur la scurit d'un environnement informatique, il est

plus lgitime de raliser un audit de scurit, qui prend notamment en compte les aspects

procduraux et organisationnels, en plus des questions techniques.

2.3.2 Identifier exhaustivement les vulnrabilits de scurit d'un environnement.

Comme les autres mthodes, un test dintrusion ne permet pas dtre certain que toutes les

vulnrabilits existantes au sein dun environnement seront identifies. Une fois une vulnrabilit

identifie sur un systme et utilise pour en prendre le contrle, une personne ralisant un test

dintrusion aura tendance soccuper dun autre systme, sans tenter didentifier dautres

vulnrabilits sur le systme dont elle vient de prendre le contrle. Or il est tout fait possible que

plusieurs vulnrabilits de scurit existent sur ce systme. Par ailleurs, un test dintrusion ne

permet en gnral pas de dtecter dventuelles vulnrabilits dans les couches de protection au del

de la premire couche prsentant un niveau de scurit suffisant.

Il faut galement noter que des tests d'intrusion ne permettent pas d'identifier directement les

faiblesses de scurit d'ordre organisationnel et procdural, et se limitent aux faiblesses techniques.



7/16

3 ACTEURS DUN TEST DINTRUSION

On peut considrer quil y a deux grandes catgories dacteurs :

Les acteurs internes : lentreprise souhaitant effectuer ce test.

Les acteurs externes : le prestataire de service proposant cette prestation, les fournisseurs

daccs, les hbergeurs. Ce prestataire pourrait tre interne lentreprise sil dispose des

comptences et dune indpendance suffisante.

A priori, tous les acteurs internes lentreprise sont concerns par le test dintrusion, ce nest pas

le seul problme du RSSI ! . Afin de limiter au maximum les risques de perturbations

oprationnelles, des prcautions d'organisation sont prendre vis vis des intervenants lors du

droulement du test. Un des objectifs tant la sensibilisation du management et des utilisateurs,

aussi bien aux attaques venant de lextrieur que de lintrieur de lentreprise, le test dintrusion doit

faire lobjet a posteriori dune large communication en interne. Cette communication doit tre

cible et, bien sr, porter un message de scurit sans pour autant informer sur les vulnrabilits non

traites..

Dans un cadre plus technique, la direction informatique dans son ensemble est concerne par ces

tests ainsi que les filiales et/ou les socits rattaches dans le cas de rseaux WAN ou dintranet,

perspective qui peut tre tendue aux clients de lentreprise dans le cadre dun extranet

Les principaux acteurs externes lentreprise sont :

les socits de service proposant ce type de prestation. Lentreprise doit rechercher

des acteurs fiables et professionnels. Ces acteurs externes doivent attacher un intrt tout

particulier la confidentialit de leur acte et surtout rassurer lentreprise dsireuse de

raliser ce test qui pourrait les percevoir comme des pirates . Ils se doivent galement

doffrir toutes les garanties ncessaires lentreprise ; les spcialistes de ces socits sont

recenser individuellement avec leurs comptences spcifiques.

le propritaire ou le responsable lgal de la structure concerne par ce test dintrusion dans

le cas o lentreprise aurait externalis ses serveurs. Dans un tel cas, il convient de prvoir la

possibilit de ce type de test ds le dpart dans le contrat dexternalisation. Si la structure estmutualise ou non visible directement, par exemple dans le cas dun serveur partag entre

plusieurs entreprises, le test dintrusion ne peut tre envisag de par cette structure

particulire.

Lentreprise, le prestataire de service et lventuel hbergeur doivent analyser avec une attention

toute particulire, le contexte organisationnel autour du systme dinformation objet du contrat des

tests dintrusion ; en particulier, les engagements doivent correspondre au primtre rel de

responsabilit des acteurs engags.



8/16

4 DEROULEMENT DUNE MISSION DE TESTDINTRUSION TYPE DEPUIS INTERNET

Lobjectif dune telle mission est dvaluer le risque quune personne malveillante puisse

sintroduire dans le rseau informatique interne de lentreprise (le demandeur) via son rseau

dinterconnexion Internet.

Une mission de ce genre est gnralement ralise par le prestataire depuis un environnement ddi,

comme par exemple un laboratoire de tests dintrusion.

Ce type de mission peut dbuter sans information pralable provenant du demandeur. De manire

gnrale, le droulement dune mission de test dintrusion de type en aveugle ou zero

knowledge depuis Internet comporte trois phases principales :

4.1 Phase 1 : Dcouvertes initiales

Lobjectif de cette phase est de rechercher des informations significatives permettant de dcouvrir

puis valider le primtre de lintrusion.

Dans un premier temps, le prestataire sattache cerner la connectivit Internet du

demandeur. Afin de mener bien cette recherche, il consulte diverses bases de donnes publiques

sur Internet (notamment les enregistrements Whois) pour identifier les plans de nommage,

dadressage et le ou les fournisseurs daccs utiliss par lentreprise. Il vrifie par ailleurs

lappartenance des adresses IP concernes par le test dintrusion. Il complte sa recherche via de

nombreuses sources de donnes publiques, sites Web du demandeur, les forums, les serveurs de

news, etc. Ces renseignements fournissent ventuellement des informations complmentaires sur les

lments rseaux et logiciels qui sont dtenus par lentreprise.

Le rsultat de cette phase permet didentifier la prsence de lentreprise perue depuis

Internet. Il est recommand de faire valider par le demandeur ces informations afin de poursuivre

cette phase dexploration. Cette validation, permet dengager le demandeur (face au contrat) et

dinformer le prestataire qui est ainsi certain que les lments quil va tester par la suite sont bien

des lments appartenant au demandeur et sont bien inclus dans la couverture du contrat.

Puis le prestataire passe lidentification de la topologie du rseau de lentreprise vue

depuis Internet. Pour cela, il identifie les machines accessibles partir dInternet laide doutilsfaiblement intrusifs (type DNS et reverse DNS, transfert de zone, traceroute, ping, etc.). Ensuite il

dtermine les caractristiques et les rles de ces machines afin de comprendre la topologie du

rseau dinterconnexion Internet. Il aura ainsi une reprsentation graphique de cette topologie du

rseau et des lments cibles qui sont identifiables depuis Internet.

A la fin de cette phase il est recommand que le prestataire communique au demandeur les

rsultats de sa dcouverte du rseau (schma de la topologie du rseau vu dInternet). Le demandeur

valide ensuite le primtre couvrir par le prestataire en Phase 2.



9/16

4.2 Phase 2 : Recherche dinformations et de vulnrabilits

Lobjectif de cette phase est de rechercher des vulnrabilits potentielles sur les machines

identifies dans le primtre de la phase 1.

Pour chacune des machines prsentes dans la topologie de raccordement Internet, le

prestataire complte sa recherche par des techniques plus intrusives qui permettent didentifierlensemble des services actifs sur ces lments, danalyser les configurations des lments, etc.

Le rsultat de cette recherche permet de mettre en vidence un certain nombre de

vulnrabilits potentielles qui pourraient exister sur les machines cibles et qui pourraient tre

exploites pour sy introduire : version ou correctif non jour, configuration incomplte, etc.

Etape de validation : lorsque le prestataire dcouvre une vulnrabilit majeure pouvant

porter atteinte la disponibilit ou lintgrit des donnes de lentreprise, nous recommandons

quil en fasse part celle-ci. Sans un accord formel de cette dernire, le prestataire ne doit pas

exploiter ce type de vulnrabilit.

4.3 Phase 3 : Exploitation des vulnrabilits et intrusion

Lobjectif de cette phase est dexploiter les vulnrabilits identifies lors de la phase 2, dans le but

de sintroduire sur les machines de lentreprise partir de laccs Internet.

Cette phase est la plus technique. En effet, le prestataire teste et tente dexploiter les

vulnrabilits mises en vidence lors de la phase prcdente. Dans le cas dune intrusion logique sur

un serveur, il doit prouver lintrusion :

En fournissant au demandeur des informations confidentielles sur le Systme dInformation,

en accord avec les objectifs et les obligations contractuelles.

En dmontrant quil a pu crire ou modifier des donnes, par le dpt dun fichier particulier

par exemple.

Cette phase naboutit pas automatiquement la prise de contrle total dun ou de plusieurs

lments du systme dinformation. En effet, le prestataire peut simplement obtenir des privilges

lui permettant de rebondir et de poursuivre lintrusion vers le rseau interne condition de ne pas

sortir du primtre dfini contractuellement en reproduisant le schma utilis depuis Internet :

processus danalyse du nouvel environnement, dnumration puis dexploitation des vulnrabilits,

etc.



10/16

5 MESURES A PRENDRE DU COTE DU DEMANDEUR

Il est recommand que le demandeur prenne en compte certaines bonnes pratiques qui permettent de

sassurer de la meilleure adquation des rsultats de la mission avec les objectifs de lentreprise.

Ces mesures ont notamment pour objectifs : Danalyser lexprience professionnelle du prestataire.

De sassurer de la qualit du droulement et du rsultat de la prestation.

Dobtenir une bonne intgration des rsultats avec les objectifs de lentreprise.

Exemples des mesures prendre avant de lancer une mission de ce type :

Dfinir lobjectif et les conditions de validation de lobjectif.

Nommer un unique coordinateur interne afin dassurer la relation avec le prestataire. Ce

coordinateur peut tre accompagn par des personnes de diffrentes comptencestechniques.

Dfinir un coordinateur chez le prestataire afin de navoir quune seule personne contacter

en cas de ncessit (changer les numros de portable).

Informer les acteurs internes de lentreprise que des tests dintrusion sont parfois raliss au

cours de lanne.

Exiger un contrat sign avec le prestataire en incluant ventuellement la couverture des

risques par une socit dassurance.

Exiger un contrat sign entre le prestataire et les ventuels hbergeurs concerns par lestests, en incluant ventuellement la couverture des risques par une socit dassurance.

Demander au prestataire de communiquer par crit la liste des adresses rseaux IP sources

qui seront utilises lors des tests dintrusion. La communication des adresses IP sources doit

tre perue comme un moyen pour le demandeur de faire la diffrence entre le test

dintrusion et les possibles relles intrusions.

Communiquer au prestataire par crit la liste des adresses rseaux IP incluses dans le

primtre de la mission. Cette communication peut tre ralise tout au long de la mission

en fonction des lments dcouverts par le prestataire. Par dfaut, il faut convenir avec le

prestataire quaucune adresse rseau ne peut tre la cible dun test sans accord formalispralable.

Eventuellement, inclure dans le contrat la destruction par le prestataire de lensemble des

informations recueillies dans le cadre de la mission. Notons que dans ce cas, le prestataire

pourra demander au demandeur de signer un Procs Verbal de fin de prestation dcrivant la

taille du rapport remis, les taches qui ont t effectues par le prestataire, le nom des

personnes ayant ralis la prestation et la dure de la prestation.

Faire valider le contrat reu du prestataire par le service juridique.

Recommander aux techniciens de ne pas modifier la configuration des lments du SI

pendant les tests : dune part cela fausse les rsultats et dautres part des modificationsralises sans suivre les procdures internes peuvent gnrer des dysfonctionnements dans le

SI.



11/16

Convenir avec le prestataire dun moyen dchange scuris des informations au cours de la

mission.

Exemples des mesures prendre pour sassurer de la comptence professionnelle du prestataire :

Demander si le prestataire possde un Code dEthique formalis et respect.

Demander la typologie des attaques qui seront ralises et la liste des outils potentiellement

utiliss.

Demander une liste de rfrences de mission prcdentes dans le domaine des tests

dintrusion.

Demander les CV des intervenants ainsi que leur rle dans la mission et le temps quils y

passeront.

Demander les moyens dont dispose le prestataire. Par exemple dans le cas dun laboratoire

de tests dintrusion, visiter ventuellement ce laboratoire.

Faire prciser au prestataire la manire dont sera gre la confidentialit des rsultats tout au

long de la mission et aprs la fin de la mission.

Exemples de mesures prendre pour cadrer la mission :

Dfinir les moyens auxquels le prestataire peut recourir.

Dfinir une date de dbut et de fin de la prestation.

Dfinir les tapes intermdiaires de validation des diffrentes phases de la prestation afin de

bien matriser le droulement de la prestation.

Prciser le respect de certaines dates et plages horaires lors des actions du prestataire suivant

la charge de certaines ressources du SI.

Assurer la traabilit (journalisation) des actions du prestataire en sassurant que le

prestataire fournira des enregistrements horodats de lensemble des actions quil a menes.

Exemples de mesures prendre pour prciser la rdaction du rapport :

Dfinir le contenu du rapport : par exemple la synthse doit tre comprhensible par la

Direction Gnrale, les descriptions techniques sont reportes en annexe, le corps du rapport

doit rappeler lensemble des vulnrabilit classes par niveau de risque, etc.

Dfinir le niveau de granularit de description des tests en prcisant notamment la mthode

utilise, le rsultat obtenu, les risques ventuels et les recommandations apporter.

Exiger une qualit de la rdaction en franais (ou en anglais) si la diffusion du rapport final

concerne des personnes non techniques.

Demander au prestataire de complter ventuellement les rapports de pr-validation

(change de fichiers non modifiables pdf, etc.) afin dexpliquer certaines parties puis valider

le rapport final du prestataire.



12/16

Exemples de mesures prendre pour valoriser les rsultats de la mission :

Analyser les conclusions du rapport et rvaluer les risques en fonction des risques rels de

lentreprise : par exemple pour dclarer quun accs des donnes doit tre class critique

pour lentreprise il faut par avance avoir ralis une classification des donnes accdes et

avoir dfini un propritaire des donnes afin de lavertir.

Demander au prestataire de fournir un tableau de bord des rsultats des tests si ces tests

couvrent de nombreux points daccs dans le SI.

Mettre jour le tableau de bord de scurit du RSSI.

Communiquer ventuellement le rapport final au dpartement daudit interne

Prvoir une (ou plusieurs) runion de prsentation des rsultats par le prestataire : une

runion de synthse pour la Direction et une runion plus technique pour le personnel

oprationnel.

Les rapports de pr-validation et final doivent tre classifis "Confidentiel".

Dfinir et formaliser au sein du rapport final, la liste des destinataires du rapport.



13/16

6 LE ROLE DES ASSURANCES DANS LE CADRE DESTESTS DINTRUSION

Comme toute intervention externe sur un systme dinformation, la ralisation des tests dintrusion

peut avoir des consquences non prvues sur lintgrit, la disponibilit et mme la confidentialit

du systme et des informations qui y sont gres.

En principe, on pourrait penser que les incidents pouvant survenir dans ce cadre sont couverts soit

par les assurances normales de lentreprise propritaire du SI soit par lassurance responsabilit

civile du prestataire ralisant les tests (dont il convient de vrifier lexistence et le plafond).

Pourtant, dans de nombreuses situations ce raisonnement peut se rvler inexact.

Ainsi, les assurances couvrent normalement des accidents de nature fortuite or, peut on considrer

que sont fortuits des incidents comme :

- indisponibilit du Web suite une saturation du point dentre rseaux consquent unbouclage du logiciel de test

- indisponibilit du rseau suite une reconfiguration sauvage et involontaire de certains de

ses lments

- divulgation dune information confidentielle accde involontairement par le prestataire dans le

cadre des tests

Le fait que tous ces incidents arrivent dans le cadre des actions autorises et voulues par le

propritaire du SI, peuvent induire la compagnie dassurance refuser la couverture du sinistre.

Certes, les assurances (mesures de rcupration selon la mthode Mehari du Clusif)ninterviennent quen dernire instance, aprs toutes les mesures prises par les excutants des tests

pour prvenir ce type dincident, en sinterdisant par exemple des actions dangereuses pour le SI.

Lexistence de ces risques doit toutefois tre prise en compte : ds lors que ces incidents peuvent

produire des sinistres fort impact pour lentreprise, cette dernire doit sassurer dune couverture

en terme dassurance.

Si au niveau dune entreprise, aprs avoir analys les mesures de prvention (celles qui prviennent

lincident) et de protection (celles qui lempchent de devenir grave) on peut dcider de courir le

risque en considrant suffisante la responsabilit civile du prestataire, le cas des hbergements

de sites Web est plus complexe.

En effet, les hbergeurs doivent non seulement prendre en compte les dommages pouvant tre

produits par un incident lors des tests dintrusion, mais les ventuels ddommagements pouvant tre

demands par les clients hbergs, autres que ceux ayant demand le test.

En particulier, les tests dintrusion faits vers des machines abritant plus dun client peuvent

conduire lhbergeur tre dans limpossibilit dautoriser ce type de test pour un seul client. Mais,

mme si le serveur est ddi, des incidents comme ceux dcrits ou dautres similaires, peuvent avoir

un impact sur la disponibilit ou limage de marque dautres clients, sils sont lorigine, par

exemple, dune indisponibilit dlments partags (routeurs, systmes de sauvegarde, etc) Il

convient donc de prendre en compte lventualit des rclamations venant dautres clients.

En tout tat de cause, le test dintrusion ralis sur un site hberg ne peut se faire que dans uncadre tripartite avec des autorisations explicites et dlimitations des responsabilits prenant en

compte la responsabilit civile de chaque acteur face chaque type dincident.



14/16

7 GLOSSAIRE

Attaque Informatique Ralisation dune menace sur un systme dinformation.

Audit de Scurit SI Vrification de la conformit dun systme dinformation ou dune

application par rapport sa Politique de Scurit et ltat de lart.

Audit de vulnrabilit Vrification des vulnrabilits dun ou des systmes par rapport aux

vulnrabilits connues (par les Certs et les diteurs). Cette vrification peut

tre faite directement sur le systme (en boite blanche ) ou par des

automates externes (voir test de vulnrabilit).

Les audits internes de vulnrabilit peuvent tre automatiss par des

systmes de matrise de la vulnrabilit qui installent des agents de contrle

sur les diffrents systmes et remontent des tats de vulnrabilit selon

les gravits et priorits tablies par le propritaire du SI.

Les diteurs de ce type de logiciel ont tendance appeler cette

paramtrisation une politique de la scurit du SI , ce qui est pour le

moins abusif et rducteur.

Backdoor Porte drobe. Programme introduit dans un systme ou une application

permettant l'ouverture d'accs privilgis au systme en passant outre les

systmes d'authentification rglementaires. Les pirates utilisent ces "portes

par derrire" aprs s'tre introduit sur une machine dans le seul but d'y

retourner plus facilement les fois suivantes.

CERT (Central Emergency

Response Team)

Structure mutualise qui reoit et traite les alertes en matire de scurit

informatique. Le plus important est le Cert central amricain (cert.org). EnFrance, existent plusieurs Cert privs ou publics : CertA (Administration),

CertIST , Cert Renater, etc.

Cheval de Troie Programme introduit illicitement dans un systme afin de fournir une entre

dans ce systme. Nom tir de la mythologie grecque lpoque dUlysse.

Cible dvaluation (target

of evaluation, TOE)

Systme dinformation ou produit qui est soumis une valuation de la

scurit (ISO15408).

Cible de scurit (security

target)

Spcification de la scurit qui est exige dune cible dvaluation et qui sert

de base pour lvaluation. La cible de scurit doit spcifier les fonctions

ddies la scurit de la cible dvaluation, les objectifs de scurit, les

menaces qui psent sur ces objectifs ainsi que les mcanismes de scurit

particuliers qui seront employs.

Dni de service (DoS) Attaque qui, par des voies diverses, vise empcher un serveur ou un rseau

de serveurs continuer de rendre son service.

Dtection dintrusion Mcanisme visant dtecter les tentatives de corruption de la scurit dun

rseau ou dun systme.

Filtrage des URL Technique permettant laccs ou non dune requte HTTP un serveur selon

les caractristiques de lURL demande et dune liste des URL autorises.

Filtrage IP Technique permettant laccs ou non dune trame un rseau selon les



15/16

valeurs des adresses IP source et destination.

Gravit du risque La gravit du risque exprime et la potentialit quil a de se raliser et

limportance de ses consquences (Mthode MEHARI).

IDS (Intrusion Detection

System)

Outil ou programme ralisant la dtection des intrusions informatiques.

Imputabilit/Traabilit Qualit dun systme dinformation permettant de retrouver le responsable

dune action sur une information.

On retrouve cette qualit aussi sous le nom de traabilit des actions

puisquelle sappuie sur des traces informatiques.

Ingnierie Sociale (Social

Engineering)

Risque d'intrusion partir d'un ensemble dinformations obtenues sur la

victime potentielle puis partir delle.

Mascarade dadresse

(address spoofing)

Usurpation dune adresse autorise dans les accs un systme du rseau de

la part dun dispositif ou dun utilisateur ne devant pas avoir cette adresse.

Mcanismes de scurit

(security mechanism)

Logique ou algorithme qui implmente par matriel ou logiciel une fonction

particulire ddie ou contribuant la scurit.

Menace (threat) Action ou vnement susceptible de porter prjudice la scurit.

Mesures dissuasives Mesures qui ont pour objet de dcourager les agresseurs humains de mettre

excution une menace potentielle. Pour tre efficaces, elles doivent reposer

sur une bonne connaissance des techniques et capacits des agresseurs

humains redouts (Mthode MEHARI).

Mesures palliatives Mesures destines minimiser les consquences, au niveau de lactivit ou

de lentreprise, des dtriorations dues un sinistre (MthodeMEHARI).

Mesures prventives Mesures dont le rle de barrire est dempcher quune menace natteigne

des ressources du systme dinformation (Mthode MEHARI).

Mesures de protection Mesures dont lobjet est de limiter lampleur des dtriorations ventuelles

consquences de lexcution dune menace (Mthode MEHARI).

Mesures structurelles Mesures dont lobjectif est de minimiser les vulnrabilits du systme

dinformation en agissant sur sa structure mme, au niveau de ses

composants (matriels, immatriels, humains) comme sur lorganisation et

les mthodes qui les rgissent. A ces mesures pourront tre ajoutes, titre

de complment si ce nest de validation, des actions de sensibilisation,

informationetformation (Mthode MEHARI).

Mesures de rcupration Mesures visant rduire le prjudice subi par transfert des pertes sur des

tiers, assurancesou par attribution de dommages et intrts conscutifs des

actions de justice (Mthode MEHARI).

Potentialit du risque La capacit pour un tel vnement adverse de se produire se traduit par la

notion de potentialit du risque (Mthode MEHARI).

Rpudiation Fait pour une personne ou une entit engage dans une communication denier avoir particip tout ou partie des changes.



16/16

Risque Le risque exprime le fait quune entit, action ou vnement, puisse

empcher de maintenir une situation ou datteindre un objectif dans les

conditions fixes, ou de satisfaire une finalit programme (Mthode

MEHARI).

Sinistre Informatique Consquence dune attaque russie sur un systme dinformation produisant

des pertes importantes (concept large incluant laccident).Sniffer Outil d'coute et visualisation de la structure des trames Ethernet qui

circulent sur un rseau. C'est un programme capable de lire les paquets

transitant sur un rseau et permettant de rcuprer login et mot de passe. Cet

outil, aussi appel analyseur de rseau, fait galement l'objet d'utilisation

malveillante par les pirates afin de rcuprer toutes les informations

confidentielles pouvant circuler en clair sur leur brin Ethernet (exemple: mot

de passe POP3).

Test dintrusion Batterie de tests, automatiss ou pas, excuts depuis lextrieur dun

Systme dInformation afin de dtecter la prsence de failles permettant la

pntration dun utilisateur ou agent non habilit dans le SI.

Test de vulnrabilit Batterie de tests, automatiss au pas, excuts depuis lextrieur dun

Systme dInformation afin de dtecter la prsence de vulnrabilits dans les

composants techniques du SI

Ver Programme qui peut s'auto-reproduire et se dplacer travers un rseau en

utilisant les mcanismes rseau, ils n'ont pas rellement besoin d'un support

physique ou logique (disque dur, programme hte, fichier ...) pour se

propager ; un ver est donc un virus rseau.

Virus Programmes qui se propagent de faon autonome par le biais de fichiers

excutables, de secteurs de dmarrage, ou de macro commandes. Un virus

est un petit programme, situ dans le corps d'un autre, qui, lorsqu'on

l'excute, se met dans la mmoire et excute les instructions que son auteur

lui a donnes. La dfinition d'un virus est: "tout programme d'ordinateur

capable d'infecter un autre programme d'ordinateur en le modifiant de faon

ce qu'il puisse son tour se reproduire".

Vulnrabilit

(vulnerability)

Faiblesse de la scurit dun systme.


Documents

Test Intrusion